网络解决方案技术建议书Word文件下载.docx
《网络解决方案技术建议书Word文件下载.docx》由会员分享,可在线阅读,更多相关《网络解决方案技术建议书Word文件下载.docx(70页珍藏版)》请在冰豆网上搜索。
2.1VLAN及IP规划
2.1.1VLAN概述
VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN内隔离广播域的技术。
当网络规模越来越庞大时,局部网络出现的故障会影响到整个网络,VLAN的出现可以将网络故障限制在VLAN范围内,增强了网络的健壮性。
2.1.2VLAN功能划分
⏹用户VLAN
用户VLAN即普通VLAN,也就是我们日常所说的业务VLAN,是用来对不同端口进行隔离的一种手段。
VLAN通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN用于减小广播域。
VLAN最好不要跨交换机,即使跨交换机,数目也需要限制。
⏹VoiceVLAN
VoiceVLAN是为用户的语音数据流划分的VLAN,用户通过创建VoiceVLAN并将连接语音设备的端口加入VoiceVLAN,可以使语音数据集中在VoiceVLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高语音流量的传输优先级,保证通话质量。
⏹GuestVLAN
网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN(即GuestVLAN),用户访问该VLAN内的资源不需要认证,只能访问有限的网络资源。
用户从处于GuestVLAN的服务器上可以获取802.1x客户端软件,升级客户端或执行其他应用升级程序(例如:
防病毒软件、操作系统补丁程序等)。
认证成功后,端口离开GuestVLAN加入用户VLAN,用户可以访问其特定的网络资源。
⏹MulticastVLAN
MulticastVLAN即组播VLAN,组播交换机运行组播协议时需要组播VLAN来承载组播流。
组播VLAN主要是用来解决当客户端处于不同VLAN中时,上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。
2.1.3VLAN规划原则
一个二层网络规划的基本原则:
●区分业务VLAN、管理VLAN和互联VLAN
●按照业务区域划分不同的VLAN
●同一业务区域按照具体的业务类型(如:
Web、APP、DB)划分不同的VLAN
●VLAN需连续分配,以保证VLAN资源合理利用
●预留一定数目VLAN方便后续扩展
2.1.4VLAN规划建议
VLAN根据多种原则组合划分。
●按照逻辑区域划分VLAN范围:
例1:
核心网络区:
100~199
服务器区:
200~999,预留1000~1999
接入网络:
2000~3499
业务网络:
3500~3999
例2:
规划NAC方案时,使用动态VLAN情况下,VLAN可划分为认证前域GuestVLAN、隔离域IsolateVLAN、认证后域VLAN三类。
实际部署时可以按职能部门分配VLAN,同时预留GuestVLAN和隔离VLAN。
●按照地理区域划分VLAN范围
例如:
接入网络A的地理区域使用2000~2199
接入网络B的地理区域使用2200~2399
●按照功能模块划分VLAN范围
安全监控网络使用2000~2009
企业办公网使用2010~2019
●按照业务功能划分VLAN范围
Web服务器区域:
200~299
APP服务器区域:
300~399
DB服务器区域:
400~499
IPPhone、打印机等哑终端使用单独的VLAN上线。
IPPhone需要为其配置VoiceVLAN,提高语音数据的优先级,保证语音质量。
建议为AP规划独立的管理VLAN。
2.1.5IP规划概述
考虑到后期扩展性,在网络IP地址规划时主要以易管理为主要目标。
网络中的DMZ区或Internet互联区有少量设备使用公网IP,网络内部使用的则是私网IP。
IP地址是动态IP或静态IP的选取原则如下:
●原则上服务器,特殊终端设备(打卡机,打印服务器,IP视频监控设备等)和生产设备建议采用静态IP。
●办公用设备建议使用DHCP动态获取,如办公用PC、IP电话等。
2.1.6IP地址规划原则
⏹IP地址规划的原则
●唯一性
一个IP网络中不能有两个主机采用相同的IP地址。
即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。
●连续性
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
●扩展性
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
●实意性
“望址生意”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。
⏹网络IP地址基本分类
●Loopback地址
为了方便管理,会为每一台路由器创建一个Loopback接口,并在该接口上单独指定一个IP地址作为管理地址。
Loopback地址务必使用32位掩码的地址。
最后一位是奇数的表示路由器,是偶数的表示交换机,越是核心的设备,Loopback地址越小。
●互联地址
互联地址是指两台网络设备相互连接的接口所需要的地址,互联地址务必使用30位掩码的地址。
核心设备使用较小的一个地址,互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。
●业务地址
业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址,业务地址规划时所有的网关地址统一使用相同的末位数字,如:
.254都是表示网关。
●网络内部的IP地址
建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。
汇聚交换机下接入的网段可能有很多,在规划的时候需要考虑路由是可以聚合的,这样可以减少核心网络的路由数目。
●无线设备的IP地址
ACIP地址一般通过静态手工配置。
由于AP数量较多,手动配置IP地址工作量大且容易出错,建议采用DHCP动态给AP分配IP地址。
DHCP动态分配AP的IP地址时,可以采用指定地址池分配和统一分配两种方式。
2.1.7DHCP规划
网络中办公网络、商业WiFi建议使用DHCP,每个DHCP网段应保留部分静态IP供服务器等设备使用。
⏹DHCP部署基本架构
●在数据中心或服务器区部署独立的DHCPServer。
●在汇聚层网关部署DHCPRelay指向DHCPServer统一分配地址。
●DHCP一般通过VLAN分配地址,如有特殊要求,在接入交换机部属Option82,由接入交换机提供的Option82信息分配地址。
图2-1DHCP划分
⏹DHCP部署基本原则
●固定IP地址段和动态分配IP地址段保持连续。
●按照业务区域进行DHCP地址的划分,便于统一管理及问题定位。
●DHCP需要跨网段获得IP地址时,启动DHCPRelay功能。
●启动DHCP安全功能,禁止非法DHCPServer的架设和非法用户的接入。
2.1.8DNS规划
⏹DNS服务器的角色划分
●Master服务器:
主服务器
作为DNS的管理服务器,可以增加、删除、修改域名,修改的信息可以同步到Slave服务器,一般部署1台。
●Slave服务器:
从服务器
从Master服务器获取域名信息,采用多台服务器形成集群的方式,统一对外提供DNS服务,一般采用基于硬件的负载均衡器提供服务器集群的功能。
一般部署2台从服务器。
●Cache服务器:
缓存服务器
用于缓存内部用户的DNS请求结果,加快后续的访问。
一般部署在Slave服务器上。
⏹DNS服务器的IP地址
采用企业内网地址。
分配企业私网地址,并在负载均衡器上分配一个虚拟的企业内网地址。
Internet域名地址有两种方案:
●一种是在防火墙上做NAT映射,把Slave服务器的虚拟地址映射为一个公网IP地址,用于外部Internet用户的访问。
●另一种是在链路负载均衡设备上通过智能DNS为外部Internet用户提供服务。
⏹DNS可靠性设计
众多内部用户发送DNS请求,被均匀分担到SlaveDNS1和DNS2。
当SlaveDNS1服务器故障后,所有的DNS请求被分发给SlaveDNS2。
最终DNS服务器必须与外部DNS通讯。
Master服务器,建议放置在DMZ区域,并在同区内部建立SlaveDNS服务器。
如只对内提供服务的DNS服务器,可以作为二级的DNS服务器,放入其他非DMZ区域。
当所有的SlaveDNS都故障后,用户发送的DNS请求无响应。
用户就切换到备DNS,由MasterDNS处理所有的请求。
图2-1DNS规划
2.2虚拟化设计
2.2.1横向虚拟化设计
网络核心、汇聚节点均建议采用CSS设计,可以提高单节点设备可靠性,一台交换机故障,另外一台交换机自动接管故障设备上的所有业务,可以做到业务无损切换。
设备虚拟化通过跨设备的Trunk链路,提升链路级可靠性,并且流量可以均匀分布在Trunk成员链路上,提高链路带宽利用率,一条或多条链路故障后,流量自动切换到其他正常的链路。
网络配置和维护简单,网络二层接入网不需要配置复杂的二层环网和保护倒换协议,二层链路故障能直接感知快速切换。
三层网络中多个设备间共享路由表,网络故障路由收敛速度快。
网络管理和维护难度大大降低,此方案适应面广,扩展性强,是未来网络的发展趋势。
可以提高网络故障的收敛时间。
通过虚拟化与Trunk相结合的方式,可以将传统网络中协议的收敛时间转化为Trunk内部成员的选路时间。
链路聚合技术的收敛不涉及复杂的协议计算,也不涉及网络协议的重新收敛,因此效率上要高出很多,华为公司的交换机在某些场景可以达到10ms左右的收敛时间,比之网络协议收敛的秒级要提高了100倍。
CSS2(ClusterSwitchSystemGeneration2,第二代集群交换机系统),又被称为集群,是指将多台支持集群特性的交换机设备虚拟化为一台交换机设备(目前支持2台),从逻辑上组合成一台整体交换设备。
图2-1CSS2集群
CSS2系统建立后,根据协议的计算,将出现一个主交换机,一个备交换机。
在控制平面上,主交换机的主用主控单元成为CSS2的系统主,作为整个系统的管理主角色;
备交换机的主用主控单元成为CSS2的系统备,作为系统的管理备角色;
主交换机和备交换机的备用主控单元作为CSS2的候选系统备,不具有管理角色。
S12700主控交换分离,备板只作为备用主控,无交换网功能。
●简化管理和配置
集群形成后,两台核心设备物理虚拟成为一台设备,用户可以通过任何一台成员设备登录集群系统,对集群系统所有成员设备进行统一配置和管理,需要管理的设备节点减少一半。
其次,组网中逻辑上看变得简单,原来需要的STP/SmartLink/VRRP等冗余备份协议,在使用CSS2后都不再需要了。
●提高链路利用率
通过跨框Trunk,用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口,这样不仅不用配置STP等协议,而且Trunk的多条链路之间可以对流量做负载分担,提高了链路的利用率,较STP等阻塞链路的方式要好很多。
●交换网集群
现有技术支持交换网板上支持插集群卡。
通过连接交换网集群卡端口,建立交换网集群。
交换网集群与下文的控制面集群差异是控制报文的转发路径。
交换网集群是通过交换网集群端口转发控制报文,控制面集群是通过控制面集群口转发控制报文。
两种模式下,数据报文都通过交换网集群端口转发。
交换网集群与CSS集群卡集群比较:
Ø
启动性能提升(交换网板与MPU并行启动)
连线简单
扩展性更强(主控交换合一架构受限于主控数目)
拔主控不断流
主备倒换0丢包
故障感知更优于业务口集群(集群口故障中断上报)
交换网集群与业务口集群比较
不占用业务端口
转发路径更短
拔主控0丢包
流量更均衡(业务口需要二次hash)
业务口集群最多两块板、交换网集群最多4块板。
广播流量无阻塞(业务口集群,两组备份的集群链路中需要阻塞其中一路。
交换网集群,集群链路无需阻塞)。
●单主控集群
S12700主控和交换分离,主控板不在位时不影响转发。
S12700支持主框和备框仅一个主控时可建立集群,即S12700支持单主控集群。
单主控集群,可以减少客户部署成本。
S12700备框主控故障,业务不中断。
S12700备框主控都拔出时,备框的数据转发不受影响。
图2-2单主控集群
2.2.2纵向虚拟化设计
SVF(SuperVirtualFabric)又称为纵向堆叠技术,是一种更加集中化的设备管理方案,真正做到了SVF架构内设备的通过管理和运维。
可以将有线无线网络全部集中到核心./汇聚上进行统一管理、集中维护。
达到整个网络一个管理节点的目的。
●设备管理
可以将一个SVF系统视为一个虚拟的框式设备,其中SVF-Parent就是这台虚拟框式交换机的主控板,SVF-Client就是这台虚拟框式交换机的有线口接口板,而AP可以看作是无线端口接口板。
图2-1设备管理
●版本管理
SVF-Client的版本都保存在SVF-Parent上,当SVF-Client接入SVF系统后,可以自动从SVF-Parent上获取版本文件并加载,整个过程免人工操作。
图2-2版本管理
●配置下发
SVF-Client的配置类似于框式交换机接口的配置,用户使用的命令行都在SVF-Parent上操作,不需要在SVF-Client上直接输入。
在SVF-Parent上对应每个SVF-Client(堆叠设备是为一个Client)分配一个ID,SVF-ID范围是101-148,AP不占用SVF-ID。
在配置SVF-Client端口时,在现有的端口表示方式基础上(当前方式是:
框号/卡号/端口号,如Ge2/0/1),新增一个SVF-ID号,这样端口表示变为四维:
SVF-ID/框号/卡号/端口号,如Ge102/2/0/1,表示ID为102的SVF-Client上的Ge2/0/1端口。
●状态监控
SVF系统内,SVF-Client不再作为独立设备对外体现,SVF-Client的告警信息也不再以独立设备的形式上报,而是统一汇总到SVF-Parent上,在SVF-Parent上查看和上报网管。
2.3安全设计
2.3.1安全概述
随着智能化的发展,对于网络的依赖性不断增强。
但病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。
统计表明,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为用户最关心的问题,网络安全基础设施也日渐成为网建设的重点。
在传统的网络建设中,一般认为网络内部是安全的,威胁主要来自外界。
在网络边界上,一般使用防火墙、IDS/IPS作为安全设备。
随着安全挑战的不断升级,仅通过传统的安全措施和独立工作的形式进行边界防御已经远远不够了,安全模型需要由被动模式向主动模式转变,从根源-终端彻底解决网络安全问题,提高整个企业的信息安全水平。
目前网络安全一般从网络监管、边界防御、接入安全及远程接入等方面进行考虑。
接入安全主要指导网络内的安全接入,包括终端安全接入控制,例如:
用户隔离,端口隔离等;
远程接入涉及分支机构、出差人员对网络内部的安全访问;
边界防御通过防火墙、IPS/IDS对网络出口,网络内的各个组织单元之间进行有效防护和隔离。
2.3.2网络安全方案
网络的安全是网络安全最基本的保证。
这里主要从交换机的安全特性上的使用来保证网络的安全。
包括DHCPSnooping、ARP防攻击、MAC防攻击、IP源防攻击等。
这些安全特性工作于OSI模型的链路层,可在接入层交换机上部署。
⏹DHCPSnooping
DHCPSnooping是DHCP(DynamicHostConfigurationProtocol)的一种安全特性,通过截获DHCPClient和DHCPServer之间的DHCP报文进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表。
该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLANID、接口等信息。
DHCPSnooping部署在二层设备上面,一般部署在接入交换机上。
⏹DAI-ARP欺骗
动态ARP检测(DynamicARPInspection)应用在设备的二层接口上,利用DHCPSnooping绑定表来防御ARP攻击。
当设备收到ARP报文时,将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCPSnooping绑定表的信息进行比较。
如果信息匹配,说明是合法用户,则允许此用户的ARP报文通过;
否则,认为是攻击,丢弃该ARP报文。
⏹ARP限速
ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。
例如,在配置了ARPDetection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题。
如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。
⏹MAC泛洪
MAC泛洪攻击是指攻击主机通过程序伪造大量包含随机源MAC地址的数据帧发往交换机。
有些攻击程序一分钟可以发出十几万条伪造源MAC地址的数据帧,交换机根据数据帧中的MAC地址进行学习,但一般交换机的MAC地址表容量也就几千条,交换机的MAC地址表瞬间被伪造的MAC地址填满,交换机的MAC表填满后,交换机再收到数据,不管是单播、广播还是组播,交换机都不再学习MAC地址,如果交换机在MAC地址表中找不到目的MAC地址对应的端口,交换机就像集线器一样,向所有端口广播数据,这样就可能造成广播风暴。
在华为交换机上,可以通过对MAC学习限制及流量抑制的功能来防止MAC泛洪攻击。
MAC学习限制是指限制MAC学习的数目。
华为交换机支持在接口、VLAN、槽位和VSI四个方面对MAC学习数目进行限制。
同时,华为交换机支持对未知单播、广播及组播流量进行速度限制。
通过对MAC学习限制及流量抑制,可以有效地防范MAC泛洪攻击。
⏹IPSourceGuard
IP源地址防护能够限制二层不信任端口的IP流量。
它采取的方法是,通过DHCP绑定表或手动绑定的IP源地址来对IP流量实行过滤此特性可以阻止IP地址欺骗攻击,也就是主机通过把自己的源IP地址修改成其他主机的IP地址实现的攻击。
任何从不信任的端口入站的IP流量,只要其源地址与指定(DHCPSnooping或静态绑定表)的IP地址不同,就会被过滤掉。
IP源地址与防护特性需要在不信任的二层接口上和DHCPSnooping共同使用。
IP源地址防护会生成一个IP源地址绑定表,并且对这个列表进行维护。
这个列表既可以通过DHCP学习到也可以手动配置。
列表中的每个条目都包括IP地址及与这个IP地址所关联的MAC地址及VLANID。
⏹MFF技术
网络中,通常使用MFF(MAC-ForcedForwarding)实现不同客户端主机之间的二层隔离和三层互通。
MFF截获用户的ARP请求报文,通过ARP代答机制,回复网关MAC地址的ARP应答报文。
通过这种方式,可以强制用户将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止用户之间的恶意攻击,能更好的保障网络部署的安全性。
2.3.3边界安全方案
⏹边界防护概述
所谓网络边界,是指网络与其他网络的分界线。
对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。
定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。
网络边界是网络的重要组成部分,负责对网络流量进行最初及最后的过滤,因此边界安全的有效部署对整网安全意义重大。
⏹边界防护安全设计
一般而言,一个完整的安全部署包括边界路由器、边界防火墙、IPS、边界防毒墙、边界流量分析监控等安全部件及各安全部件之间的协同工作。
这些部件仅仅依靠各自自身的力量是无法提供完整的网络安全。
只有这些部件的功能相互补充,相互结合,协同工作才能形成一个立体的防御结构。
●边界路由器
路由器在网络中承担路由转发的功能,它们将流量引导进入网络、流出网络或者在网络中传输,由于边界路由器具有丰富的网络接口,一般置于Internet出口或广域网出口,是流量进入和流出之前我们可以控制的第一道防线。
●边界防火墙
防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。
防火墙可以对边界路由器不能监控的流量进行更加深入地分析和过滤,并能够按照管理者所确定的策略来阻塞或者允许流量经过。
华为Eudemon系列防火墙支持安全域管理、攻击防范、ASPF、NAT等功能,通过这些功能保障网络安全。
●安全域管理
华为防火墙采用基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意接口,因此防火墙的安全管理模型不会受到网络拓扑的影响。
不同的安全区域之间的访问设计不同的安全策略组(ACL访问控制列表),每条安全策略组支持若干个独立的规则。
这样的规则体系使得统一安全网关的策略十分容易管理,方便用户对各种逻辑安全区域的独立管理。
基于安全区域的策略控制模型,可以清晰地分别定义从trust到untrust、从DMZ到untrust之间的各种访问,这样的策略控制模型使得华为统一安全网关的网络隔离功能具有很好的管理能力。
●攻击防范
攻击防范功能是防火墙必备的功能之一,常见的攻击类型有DOS攻击、扫描窥探攻击、畸形报文攻击等等。
●ASPF过滤技术
ASPF是一种高级通信过滤技术,它检查应用层协议信息并且监控基于连接的应用层协议状态。
防火墙依靠这种基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范,包括
升级会员 